Recopila registros de EDR de SentinelOne
Se admite en los siguientes países:
Google SecOps
SIEM
En este documento, se describe cómo puedes recopilar registros de EDR de SentinelOne configurando un feed de Google Security Operations.
Para obtener más información, consulta Transferencia de datos a Google Security Operations.
Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador
con la etiqueta de transferencia SENTINEL_EDR.
Configura EDR de SentinelOne
- Accede a la consola de Administración de dispositivos con la cuenta de usuario.
- Selecciona Nombre de usuario > Mi usuario.
- En el diálogo, haz clic en Generate API Token.
- Copia y guarda el token de API.
Configura un feed en Google Security Operations para transferir registros de EDR de SentinelOne
- Ve a Configuración de SIEM > Feeds.
- Haz clic en Agregar nueva.
- Ingresa un nombre único para el Nombre del campo.
- Selecciona Google Cloud Storage como el Tipo de fuente.
- Selecciona SentinelOne EDR como el Tipo de registro.
- Haz clic en Obtener una cuenta de servicio. Google Security Operations proporciona una cuenta de servicio única que usa para transferir datos.
- Configura el acceso de la cuenta de servicio para que pueda acceder a los objetos de Cloud Storage. Para obtener más información, consulta Otorga acceso a la cuenta de servicio de Operaciones de seguridad de Google.
- Haz clic en Siguiente.
- Configura los siguientes parámetros de entrada obligatorios:
- URI del bucket de almacenamiento
- Un URI es un
- Opción de eliminación de fuentes
- Haz clic en Siguiente y, luego, en Enviar.
Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo.
Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.
Referencia de la asignación de campos
Este analizador extrae los registros de EDR de SentinelOne, los transforma en UDM y controla los formatos heredados y de embudo de Cloud (v1 y v2). Realiza una asignación de campos extensa, incluidas las conexiones de red, los eventos de procesamiento, las actividades de archivos y registro, las tareas programadas y los indicadores de inteligencia de amenazas, aprovechando la lógica condicional basada en tipos de eventos y fuentes de datos. El analizador también controla la asignación del framework de MITRE ATT&CK y varias tareas de normalización de datos, como la conversión de marcas de tiempo y la manipulación de cadenas.
Asignación de UDM del analizador de SentinelOne
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
@timestamp |
metadata.event_timestamp |
Es la marca de tiempo del evento que registró SentinelOne. Se analiza a partir del campo @timestamp en el registro sin procesar. |
agentDetectionInfo.accountId |
metadata.product_deployment_id |
El ID de la cuenta en SentinelOne. |
agentDetectionInfo.accountName |
principal.administrative_domain |
Es el nombre de la cuenta en SentinelOne. |
agentDetectionInfo.agentDomain |
principal.administrative_domain |
Es el dominio del agente. |
agentDetectionInfo.agentIpV4 |
principal.ip, principal.asset.ip |
La dirección IPv4 del agente. |
agentDetectionInfo.agentLastLoggedInUserName |
principal.user.user_display_name |
Es el nombre de usuario del último usuario que accedió al agente. |
agentDetectionInfo.agentMachineType |
principal.asset.machine_type |
Es el tipo de máquina en la que está instalado el agente (p.ej., computadora de escritorio, servidor o laptop). |
agentDetectionInfo.agentMitigationMode |
N/A | El modo de mitigación del agente. No se asignó a la UDM. |
agentDetectionInfo.agentNetworkStatus |
N/A | El estado de la red del agente No se asignó a la UDM. |
agentDetectionInfo.agentOsName |
principal.asset.platform_software.platform |
Es el nombre del sistema operativo del agente. |
agentDetectionInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Es la revisión del sistema operativo del agente. |
agentDetectionInfo.agentRegisteredAt |
principal.asset.first_discover_time |
Es la marca de tiempo en la que se registró el agente. |
agentDetectionInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
El UUID del agente. Debe tener el formato "ID de dispositivo: {uuid}". |
agentDetectionInfo.agentVersion |
metadata.product_version |
La versión del agente de SentinelOne. |
agentDetectionInfo.externalIp |
principal.ip, principal.asset.ip |
Es la dirección IP externa del agente. |
agentDetectionInfo.groupId |
principal.user.group_identifiers |
Es el ID del grupo al que pertenece el agente. |
agentDetectionInfo.groupName |
principal.group.group_display_name |
Es el nombre del grupo al que pertenece el agente. |
agentDetectionInfo.siteId |
principal.namespace |
Es el ID del sitio al que pertenece el agente. |
agentDetectionInfo.siteName |
principal.location.name |
Es el nombre del sitio al que pertenece el agente. |
agentRealtimeInfo.accountId |
metadata.product_deployment_id |
El ID de la cuenta en SentinelOne. |
agentRealtimeInfo.accountName |
principal.administrative_domain |
Es el nombre de la cuenta en SentinelOne. |
agentRealtimeInfo.activeThreats |
N/A | Es la cantidad de amenazas activas en el agente. No se asignó a la UDM. |
agentRealtimeInfo.agentComputerName |
principal.hostname, principal.asset.hostname |
Es el nombre de host de la computadora del agente. |
agentRealtimeInfo.agentDecommissionedAt |
N/A | Indica si el agente se dio de baja. No se asignó a la UDM. |
agentRealtimeInfo.agentDomain |
principal.administrative_domain |
Es el dominio del agente. |
agentRealtimeInfo.agentId |
N/A | Es el ID del agente. No se asignó a la UDM. |
agentRealtimeInfo.agentInfected |
N/A | Indica si el agente está infectado. No se asignó a la UDM. |
agentRealtimeInfo.agentIsActive |
N/A | Indica si el agente está activo. No se asignó a la UDM. |
agentRealtimeInfo.agentIsDecommissioned |
N/A | Indica si el agente se dio de baja. No se asignó a la UDM. |
agentRealtimeInfo.agentMachineType |
principal.asset.machine_type |
Es el tipo de máquina en la que está instalado el agente (p.ej., computadora de escritorio, servidor o laptop). |
agentRealtimeInfo.agentMitigationMode |
N/A | El modo de mitigación del agente. No se asignó a la UDM. |
agentRealtimeInfo.agentNetworkStatus |
N/A | El estado de la red del agente No se asignó a la UDM. |
agentRealtimeInfo.agentOsName |
principal.asset.platform_software.platform |
Es el nombre del sistema operativo del agente. |
agentRealtimeInfo.agentOsRevision |
principal.asset.platform_software.platform_version |
Es la revisión del sistema operativo del agente. |
agentRealtimeInfo.agentOsType |
principal.platform |
Es el tipo de sistema operativo del agente. |
agentRealtimeInfo.agentUuid |
principal.asset.asset_id, principal.asset.product_object_id |
El UUID del agente. Debe tener el formato "ID de dispositivo: {uuid}". |
agentRealtimeInfo.agentVersion |
metadata.product_version |
La versión del agente de SentinelOne. |
agentRealtimeInfo.groupId |
principal.user.group_identifiers |
Es el ID del grupo al que pertenece el agente. |
agentRealtimeInfo.groupName |
principal.group.group_display_name |
Es el nombre del grupo al que pertenece el agente. |
agentRealtimeInfo.networkInterfaces |
principal.ip, principal.asset.ip, principal.mac |
Información de la interfaz de red, incluidas las direcciones IP y MAC |
agentRealtimeInfo.operationalState |
N/A | El estado operativo del agente. No se asignó a la UDM. |
agentRealtimeInfo.rebootRequired |
N/A | Indica si se requiere un reinicio. No se asignó a la UDM. |
agentRealtimeInfo.scanAbortedAt |
N/A | Es la marca de tiempo del momento en que se abortó un análisis. No se asignó a la UDM. |
agentRealtimeInfo.scanFinishedAt |
N/A | Es la marca de tiempo de cuando finalizó un análisis. No se asignó a la UDM. |
agentRealtimeInfo.scanStartedAt |
N/A | Es la marca de tiempo del inicio de un análisis. No se asignó a la UDM. |
agentRealtimeInfo.scanStatus |
N/A | Es el estado de un análisis. No se asignó a la UDM. |
agentRealtimeInfo.siteId |
principal.namespace |
Es el ID del sitio al que pertenece el agente. |
agentRealtimeInfo.siteName |
principal.location.name |
Es el nombre del sitio al que pertenece el agente. |
agentRealtimeInfo.storageName |
N/A | Es el nombre del almacenamiento. No se asignó a la UDM. |
agentRealtimeInfo.storageType |
N/A | El tipo de almacenamiento No se asignó a la UDM. |
agentRealtimeInfo.userActionsNeeded |
N/A | Se requieren acciones del usuario. No se asignó a la UDM. |
batch.customer_id |
N/A | El ID de cliente. No se asignó a la UDM. |
batch.collector_id |
N/A | El ID del recaudador No se asignó a la UDM. |
batch.type |
metadata.log_type |
Es el tipo del lote. |
collection_time |
metadata.collected_timestamp |
Es la hora en que se recopiló el registro. |
create_time |
metadata.event_timestamp |
Es la hora en la que se creó el evento. |
data |
(Varios) | La carga útil de datos principal del evento de SentinelOne. Los campos de este objeto se asignan a varios campos de la AUA según el tipo de evento. |
event.activityType |
N/A | Es el tipo de actividad. No se asignó a la UDM. |
event.agentId |
metadata.product_deployment_id |
Es el ID del agente. |
event.agentUpdatedVersion |
N/A | La versión actualizada del agente. No se asignó a la UDM. |
event.comments |
N/A | Comentarios asociados con el evento. No se asignó a la UDM. |
event.createdAt |
metadata.event_timestamp |
Es la hora en la que se creó el evento. |
event.data |
(Varios) | Datos asociados con el evento. Los campos de este objeto se asignan a varios campos de la AUA según el tipo de evento. |
event.description |
metadata.product_event_type |
La descripción del evento. |
event.destinationAddress.address |
target.ip |
La dirección IP del destino. |
event.destinationAddress.port |
target.port |
Es el puerto del destino. |
event.direction |
network.direction |
La dirección de la conexión de red. Se asignan a "INBOUND" o "OUTBOUND". |
event.executable.commandLine |
principal.process.command_line, target.process.command_line |
La línea de comandos del ejecutable. |
event.executable.creationTime.millisecondsSinceEpoch |
N/A | Es la hora de creación del ejecutable. No se asignó a la UDM. |
event.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Es la ruta completa del ejecutable. |
event.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
El hash MD5 del ejecutable |
event.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
El hash SHA1 del ejecutable. |
event.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Es el hash SHA256 del ejecutable. |
event.executable.isDir |
N/A | Indica si el ejecutable es un directorio. No se asignó a la UDM. |
event.executable.isKernelModule |
N/A | Indica si el ejecutable es un módulo de kernel. No se asignó a la UDM. |
event.executable.name |
N/A | Es el nombre del ejecutable. No se asignó a la UDM. |
event.executable.node.key.value |
N/A | Es el valor de la clave del nodo del ejecutable. No se asignó a la UDM. |
event.executable.owner.name |
N/A | El nombre del propietario del ejecutable. No se asignó a la UDM. |
event.executable.owner.sid |
N/A | El SID del propietario del ejecutable No se asignó a la UDM. |
event.executable.pUnix |
N/A | El valor de pUnix del ejecutable. No se asignó a la UDM. |
event.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
La identidad del ejecutable firmado. Debe tener el formato "Source Signature Signed Identity: {identity}". |
event.executable.signature.signed.valid |
N/A | Indica si la firma es válida. No se asignó a la UDM. |
event.executable.signature.unsigned |
N/A | Indica si el ejecutable no está firmado. No se asignó a la UDM. |
event.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Es el tamaño del ejecutable en bytes. |
event.excluded |
N/A | Indica si el evento está excluido. No se asignó a la UDM. |
event.file.creationTime.millisecondsSinceEpoch |
N/A | La hora de creación del archivo. No se asignó a la UDM. |
event.file.full_path |
target.file.full_path |
Es la ruta de acceso completa del archivo. |
event.file.hashes.md5 |
target.process.file.md5 |
El hash MD5 del archivo. |
event.file.hashes.sha1 |
target.process.file.sha1 |
Es el hash SHA1 del archivo. |
event.file.hashes.sha256 |
target.process.file.sha256 |
Es el hash SHA256 del archivo. |
event.file.isDir |
N/A | Indica si el archivo es un directorio. No se asignó a la UDM. |
event.file.isKernelModule |
N/A | Indica si el archivo es un módulo de kernel. No se asignó a la UDM. |
event.file.node.key.value |
N/A | Es el valor de la clave de nodo del archivo. No se asignó a la UDM. |
event.file.owner.name |
N/A | Es el nombre del propietario del archivo. No se asignó a la UDM. |
event.file.owner.sid |
N/A | El SID del propietario del archivo No se asignó a la UDM. |
event.file.pUnix |
N/A | El valor pUnix del archivo. No se asignó a la UDM. |
event.file.signature.unsigned |
N/A | Indica si el archivo no está firmado. No se asignó a la UDM. |
event.file.sizeBytes |
N/A | Es el tamaño del archivo en bytes. No se asignó a la UDM. |
event.fullPid.pid |
principal.process.pid, target.process.pid |
El ID del proceso. |
event.fullPid.startTime.millisecondsSinceEpoch |
N/A | Es la hora de inicio del proceso. No se asignó a la UDM. |
event.hashes.md5 |
target.file.md5 |
El hash MD5 |
event.hashes.sha1 |
target.file.sha1 |
El hash SHA1 |
event.hashes.sha256 |
target.file.sha256 |
El hash SHA256 |
event.id |
metadata.product_log_id |
El ID del evento. |
event.interactive |
N/A | Indica si el evento es interactivo. No se asignó a la UDM. |
event.isRedirectedCommandProcessor |
N/A | Indica si el evento es un procesador de comandos redireccionado. No se asignó a la UDM. |
event.isWow64 |
N/A | Indica si el evento es WoW64. No se asignó a la UDM. |
event.method |
network.http.method |
El método HTTP. |
event.name |
N/A | Es el nombre del evento. No se asignó a la UDM. |
event.node.key.value |
N/A | Es el valor de clave de nodo del evento. No se asignó a la UDM. |
event.oldHashes.md5 |
N/A | El hash MD5 anterior No se asignó a la UDM. |
event.oldHashes.sha1 |
N/A | El hash SHA1 anterior No se asignó a la UDM. |
event.oldHashes.sha256 |
N/A | El hash SHA256 anterior. No se asignó a la UDM. |
event.parent.commandLine |
principal.process.parent_process.command_line, target.process.parent_process.command_line |
La línea de comandos del proceso superior. |
event.parent.excluded |
N/A | Indica si se excluye el evento superior. No se asignó a la UDM. |
event.parent.executable.creationTime.millisecondsSinceEpoch |
N/A | Es la hora de creación del ejecutable superior. No se asignó a la UDM. |
event.parent.executable.full_path |
principal.process.parent_process.file.full_path, target.process.parent_process.file.full_path |
Es la ruta de acceso completa del ejecutable superior. |
event.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5, target.process.parent_process.file.md5 |
Es el hash MD5 del ejecutable superior. |
event.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1, target.process.parent_process.file.sha1 |
El hash SHA1 del ejecutable superior. |
event.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256, target.process.parent_process.file.sha256 |
Es el hash SHA256 del ejecutable superior. |
event.parent.executable.isDir |
N/A | Indica si el ejecutable superior es un directorio. No se asignó a la UDM. |
event.parent.executable.isKernelModule |
N/A | Indica si el ejecutable superior es un módulo de kernel. No se asignó a la UDM. |
event.parent.executable.node.key.value |
N/A | El valor de clave del nodo del ejecutable superior. No se asignó a la UDM. |
event.parent.executable.owner.name |
N/A | El nombre del propietario del ejecutable superior. No se asignó a la UDM. |
event.parent.executable.owner.sid |
N/A | El SID del propietario del ejecutable superior. No se asignó a la UDM. |
event.parent.executable.pUnix |
N/A | El valor de pUnix del ejecutable superior. No se asignó a la UDM. |
event.parent.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
La identidad del ejecutable superior firmado Con el formato "Source Parent Signature Signed Identity: {identity}". |
event.parent.executable.signature.signed.valid |
N/A | Indica si la firma superior es válida. No se asignó a la UDM. |
event.parent.executable.signature.unsigned |
N/A | Indica si el ejecutable superior no está firmado. No se asignó a la UDM. |
event.parent.executable.sizeBytes |
principal.process.parent_process.file.size, target.process.parent_process.file.size |
Es el tamaño del ejecutable superior en bytes. |
event.parent.fullPid.pid |
principal.process.parent_process.pid, target.process.parent_process.pid |
El ID del proceso superior. |
event.parent.fullPid.startTime.millisecondsSinceEpoch |
N/A | Es la hora de inicio del proceso superior. No se asignó a la UDM. |
event.parent.interactive |
N/A | Indica si el evento superior es interactivo. No se asignó a la UDM. |
event.parent.isRedirectedCommandProcessor |
N/A | Indica si el evento superior es un procesador de comandos redireccionado. No se asignó a la UDM. |
event.parent.isWow64 |
N/A | Indica si el evento superior es WoW64. No se asignó a la UDM. |
event.parent.name |
N/A | Es el nombre del evento superior. No se asignó a la UDM. |
event.parent.node.key.value |
N/A | Es el valor de clave de nodo del evento superior. No se asignó a la UDM. |
event.parent.root |
N/A | Indica si el evento superior es raíz. No se asignó a la UDM. |
event.parent.sessionId |
N/A | El ID de sesión del evento superior. No se asignó a la UDM. |
event.parent.subsystem |
N/A | Es el subsistema del evento superior. No se asignó a la UDM. |
event.parent.trueContext.key.value |
N/A | El valor real de la clave de contexto del evento superior. No se asignó a la UDM. |
event.parent.user.integrityLevel |
N/A | Es el nivel de integridad del usuario superior. No se asignó a la UDM. |
event.parent.user.name |
principal.user.userid |
Es el nombre de usuario del proceso superior. |
event.parent.user.sid |
principal.user.windows_sid |
El SID de Windows del usuario superior. |
event.process.commandLine |
target.process.command_line |
La línea de comandos del proceso. |
event.process.executable.creationTime.millisecondsSinceEpoch |
N/A | Es la hora de creación del ejecutable del proceso. No se asignó a la UDM. |
event.process.executable.full_path |
target.process.file.full_path |
Es la ruta de acceso completa del ejecutable del proceso. |
event.process.executable.hashes.md5 |
target.process.file.md5 |
El hash MD5 del ejecutable del proceso |
event.process.executable.hashes.sha1 |
target.process.file.sha1 |
El hash SHA1 del ejecutable del proceso |
event.process.executable.hashes.sha256 |
target.process.file.sha256 |
Es el hash SHA256 del ejecutable del proceso. |
event.process.executable.isDir |
N/A | Indica si el ejecutable del proceso es un directorio. No se asignó a la UDM. |
event.process.executable.isKernelModule |
N/A | Indica si el ejecutable del proceso es un módulo de kernel. No se asignó a la UDM. |
event.process.executable.node.key.value |
N/A | Es el valor de clave del nodo del ejecutable del proceso. No se asignó a la UDM. |
event.process.executable.owner.name |
N/A | Es el nombre del propietario del ejecutable del proceso. No se asignó a la UDM. |
event.process.executable.owner.sid |
N/A | El SID del propietario del ejecutable del proceso No se asignó a la UDM. |
event.process.executable.pUnix |
N/A | El valor de pUnix del ejecutable del proceso. No se asignó a la UDM. |
event.process.executable.signature.unsigned |
N/A | Indica si el ejecutable del proceso no está firmado. No se asignó a la UDM. |
event.process.executable.sizeBytes |
target.process.file.size |
Es el tamaño del ejecutable del proceso en bytes. |
event.process.excluded |
N/A | Indica si el proceso se excluye. No se asignó a la UDM. |
event.process.fullPid.pid |
target.process.pid |
El ID del proceso. |
event.process.fullPid.startTime.millisecondsSinceEpoch |
N/A | Es la hora de inicio del proceso. No se asignó a la UDM. |
event.process.interactive |
N/A | Indica si el proceso es interactivo. No se asignó a la UDM. |
event.process.isRedirectedCommandProcessor |
N/A | Indica si el proceso es un procesador de comandos redireccionado. No se asignó a la UDM. |
event.process.isWow64 |
N/A | Indica si el proceso es WoW64. No se asignó a la UDM. |
event.process.name |
N/A | Es el nombre del proceso. No se asignó a la UDM. |
event.process.node.key.value |
N/A | Es el valor de clave del nodo del proceso. No se asignó a la UDM. |
event.process.root |
N/A | Indica si el proceso es root. No se asignó a la UDM. |
event.process.sessionId |
N/A | El ID de sesión del proceso. No se asignó a la UDM. |
event.process.subsystem |
N/A | Es el subsistema del proceso. No se asignó a la UDM. |
event.process.trueContext.key.value |
N/A | El valor de clave de contexto real del proceso. No se asignó a la UDM. |
event.process.user.integrityLevel |
N/A | Es el nivel de integridad del usuario del proceso. No se asignó a la UDM. |
event.process.user.name |
target.user.userid |
Es el nombre de usuario del proceso. |
event.process.user.sid |
target.user.windows_sid |
El SID de Windows del usuario del proceso. |
event.query |
network.dns.questions.name |
La consulta de DNS |
event.regKey.key.value |
N/A | Es el valor de la clave de registro. No se asignó a la UDM. |
event.regKey.full_path |
target.registry.registry_key |
Es la ruta de acceso a la clave de registro. |
event.regValue.key.value |
target.registry.registry_value_name |
Es el nombre del valor del registro. |
event.regValue.full_path |
target.registry.registry_key |
Es la ruta de acceso del valor del registro. |
event.results |
network.dns.answers.data |
Los resultados del DNS |
event.root |
N/A | Indica si el evento es raíz. No se asignó a la UDM. |
event.sessionId |
N/A | El ID de la sesión del evento. No se asignó a la UDM. |
event.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
La identidad del evento firmado Con el formato "Source Signature Signed Identity: {identity}". |
event.signature.signed.valid |
N/A | Indica si la firma es válida. No se asignó a la UDM. |
event.signature.unsigned |
N/A | Indica si el evento no está firmado. No se asignó a la UDM. |
event.source.commandLine |
principal.process.command_line, target.process.command_line |
La línea de comandos de la fuente |
event.source.executable.creationTime.millisecondsSinceEpoch |
N/A | Es la hora de creación del ejecutable de origen. No se asignó a la UDM. |
event.source.executable.full_path |
principal.process.file.full_path, target.process.file.full_path |
Es la ruta de acceso completa del ejecutable de origen. |
event.source.executable.hashes.md5 |
principal.process.file.md5, target.process.file.md5 |
El hash MD5 del ejecutable de origen. |
event.source.executable.hashes.sha1 |
principal.process.file.sha1, target.process.file.sha1 |
El hash SHA1 del ejecutable de origen |
event.source.executable.hashes.sha256 |
principal.process.file.sha256, target.process.file.sha256 |
Es el hash SHA256 del ejecutable de origen. |
event.source.executable.isDir |
N/A | Indica si el ejecutable de origen es un directorio. No se asignó a la UDM. |
event.source.executable.isKernelModule |
N/A | Indica si el ejecutable de origen es un módulo de kernel. No se asignó a la UDM. |
event.source.executable.node.key.value |
N/A | Es el valor de la clave del nodo del ejecutable de origen. No se asignó a la UDM. |
event.source.executable.owner.name |
N/A | Es el nombre del propietario del ejecutable de origen. No se asignó a la UDM. |
event.source.executable.owner.sid |
N/A | El SID del propietario del ejecutable de origen. No se asignó a la UDM. |
event.source.executable.pUnix |
N/A | El valor de pUnix del ejecutable de origen. No se asignó a la UDM. |
event.source.executable.signature.signed.identity |
principal.resource.attribute.labels, target.resource.attribute.labels |
La identidad del ejecutable de origen firmado Con el formato "Source Signature Signed Identity: {identity}". |
event.source.executable.signature.signed.valid |
N/A | Indica si la firma de origen es válida. No se asignó a la UDM. |
event.source.executable.signature.unsigned |
N/A | Indica si el ejecutable de origen no está firmado. No se asignó a la UDM. |
event.source.executable.sizeBytes |
principal.process.file.size, target.process.file.size |
Es el tamaño del ejecutable de origen en bytes. |
event.source.excluded |
N/A | Indica si se excluye la fuente. No se asignó a la UDM. |
event.source.fullPid.pid |
principal.process.pid, target.process.pid |
El ID de proceso de la fuente. |
event.source.fullPid.startTime.millisecondsSinceEpoch |
N/A | Es la hora de inicio del proceso de origen. No se asignó a la UDM. |
event.source.interactive |
N/A | Indica si la fuente es interactiva. No se asignó a la UDM. |
event.source.isRedirectedCommandProcessor |
N/A | Indica si la fuente es un procesador de comandos redireccionado. No se asignó a la UDM. |
event.source.isWow64 |
N/A | Indica si la fuente es WoW64. No se asignó a la UDM. |
event.source.name |
N/A | Es el nombre de la fuente. No se asignó a la UDM. |
event.source.node.key.value |
N/A | El valor de la clave del nodo de la fuente. No se asignó a la UDM. |
event.source.parent.commandLine |
principal.process.parent_process.command_line |
La línea de comandos del elemento superior de la fuente |
event.source.parent.excluded |
N/A | Indica si se excluye el elemento superior de la fuente. No se asignó a la UDM. |
event.source.parent.executable.full_path |
principal.process.parent_process.file.full_path |
Es la ruta de acceso completa del ejecutable superior de la fuente. |
event.source.parent.executable.hashes.md5 |
principal.process.parent_process.file.md5 |
El hash MD5 del ejecutable superior de la fuente |
event.source.parent.executable.hashes.sha1 |
principal.process.parent_process.file.sha1 |
El hash SHA1 del ejecutable superior de la fuente |
event.source.parent.executable.hashes.sha256 |
principal.process.parent_process.file.sha256 |
El hash SHA256 del ejecutable superior de la fuente |
event.source.parent.fullPid.pid |
principal.process.parent_process.pid |
El ID de proceso del elemento superior de la fuente. |
event.source.parent.fullPid.startTime.millisecondsSinceEpoch |
N/A | Es la hora de inicio del proceso superior de la fuente. No se asignó a la UDM. |
event.source.parent.interactive |
N/A | Indica si el elemento superior de la fuente es interactivo. No se asignó a la UDM. |
event.source.parent.isRedirectedCommandProcessor |
N/A | Indica si el elemento superior de la fuente es un procesador de comandos redireccionado. No se asignó a la UDM. |
event.source.parent.isWow64 |
N/A | Indica si el elemento superior de la fuente es WoW64. No se asignó a la UDM. |
event.source.parent.name |
N/A | Es el nombre del elemento superior de la fuente. No se asignó a la UDM. |
event.source.parent.node.key.value |
N/A | Es el valor de la clave de nodo del elemento superior de la fuente. No se asignó a la UDM. |
event.source.parent.root |
N/A | Indica si el elemento superior de la fuente es raíz. No se asignó a la UDM. |
event.source.parent.sessionId |
N/A | El ID de sesión del elemento superior de la fuente No se asignó a la UDM. |
event.source.parent.subsystem |
N/A | Es el subsistema del elemento superior de la fuente. No se asignó a la UDM. |
event.source.parent.trueContext.key.value |
N/A | El valor verdadero de la clave de contexto del elemento superior de la fuente. No se asignó a la UDM. |
event.source.parent.user.integrityLevel |
N/A | Es el nivel de integridad del usuario superior de la fuente. No se asignó a la UDM. |
event.source.parent.user.name |
N/A | El nombre de usuario del elemento superior de la fuente No se asignó a la UDM. |
event.source.parent.user.sid |
N/A | El SID de Windows del usuario superior de la fuente. No se asignó a la UDM. |
event.source.root |
N/A | Indica si la fuente es raíz. No se asignó a la UDM. |
event.source.sessionId |
N/A | El ID de sesión de la fuente. No se asignó a la UDM. |
event.source.subsystem |
N/A | Es el subsistema de la fuente. No se asignó a la UDM. |
event.source.trueContext.key.value |
N/A | El valor real de la clave de contexto de la fuente. No se asignó a la UDM. |
event.source.user.integrityLevel |
N/A | Es el nivel de integridad del usuario de origen. No se asignó a la UDM. |
event.source.user.name |
principal.user.userid |
Es el nombre de usuario de la fuente. |
event.source.user.sid |
principal.user.windows_sid |
El SID de Windows del usuario de origen. |
event.sourceAddress.address |
principal.ip |
Es la dirección IP de la fuente. |
event.sourceAddress.port |
principal.port |
Es el puerto de la fuente. |
event.status |
N/A | Es el estado del evento. No se asignó a la UDM. |
event.subsystem |
N/A | Es el subsistema del evento. No se asignó a la UDM. |
event.targetFile.creationTime.millisecondsSinceEpoch |
N/A | La hora de creación del archivo de destino. No se asignó a la UDM. |
event.targetFile.full_path |
target.file.full_path |
Es la ruta de acceso completa del archivo de destino. |
event.targetFile.hashes.md5 |
target.process.file.md5 |
El hash MD5 del archivo de destino. |
event.targetFile.hashes.sha1 |
target.process.file.sha1 |
El hash SHA1 del archivo de destino. |
event.targetFile.hashes.sha256 |
target.process.file.sha256 |
Es el hash SHA256 del archivo de destino. |
event.targetFile.isDir |
N/A | Indica si el archivo de destino es un directorio. No se asignó a la UDM. |
event.targetFile.isKernelModule |
Cambios
2024-06-03
- Se asignó "suser" a "principal.user.userid".
- Se asignó "accountId" a "target.user.userid".
- Se asignó "MessageSourceAddress" a "principal.ip".
- Se asignó "machine_host" a "principal.hostname".
2024-05-20
- Se asignó "event.dns.response" a "network.dns.answers.data".
2024-05-06
- Se agregó compatibilidad con un nuevo patrón de registros JSON.
2024-03-22
- Se agregó un nuevo patrón de Grok para analizar el nuevo formato de registros de KV separados por tabulaciones.
- Se asignó "osName" a "src.platform".
2024-03-15
- Se asignó "site.id:account.id:agent.uuid:tgt.process.uid" a "target.process.product_specific_process_id".
- Se asignó "site.id:account.id:agent.uuid:src.process.uid" a "principal.process.product_specific_process_id".
- Se asignó "site.id:account.id:agent.uuid:src.process.parent.uid" a "principal.process.parent_process.product_specific_process_id".
- Se quitó "src.process.cmdline" de la asignación a "target.process.command_line".
2023-11-09
- Solución:
- Se asignó "tgt.process.user" a "target.user.userid".
2023-10-30
- Solución:
- Se agregó la verificación de no nulo a "principal_port" antes de la asignación a la UDM.
- Cuando "event.category" es "url" y "meta.event.name" es "HTTP", se asignó "metadata.event_type" a "NETWORK_HTTP".
2023-09-06
- Se agregó la asignación de "tgt.process.storyline.id" a "security_result.about.resource.attribute.labels".
- Se modificó la asignación de "src.process.storyline.id" de "principal.process.product_specific_process_id" a "security_result.about.resource.attribute.labels".
- Se modificó la asignación de "src.process.parent.storyline.id" de "principal.parent.process.product_specific_process_id" a "security_result.about.resource.attribute.labels".
2023-08-31
- Se asignó "indicator.category" a "security_result.category_details".
2023-08-03
- Se inicializó "event_data.login.loginIsSuccessful" como nulo.
- Se asignó "module.path" a "target.process.file.full_path" y "target.file.full_path", donde "event.type" es "Module Load".
- Se asignó "module.sha1" a "target.process.file.sha1" y "target.file.sha1", donde "event.type" es "Module Load".
- Se asignó "metadata.event_type" a "PROCESS_MODULE_LOAD", donde "event.type" es "Module Load".
- Se asignó "registry.keyPath" a "target.registry.registrykey" para los eventos "REGISTRY*".
- Se asignó "registry.value" a "target.registry.registry_valuedata" para los eventos "REGISTRY*".
- Se asignó "event.network.protocolName" a "network.application_protocol".
- Se asignaron "principal.platform" y "principal.asset.platform_software.platform" a "LINUX" si "endpoint.os" es "linux".
- Se asignó "event.login.userName" a "target.user.userid" cuando "event.type" es "Login" o "Logout".
- Se asignó "target.hostname" mediante la obtención del nombre de host de "url.address" cuando "event.type" es "GET", "OPTIONS", "POST", "PUT", "DELETE", "CONNECT", "HEAD".
2023-06-09
- Se asignó "osSrc.process.parent.publisher" a "principal.resource.attribute.labels".
- Se asignó "src.process.rUserName/src.process.eUserName/src.process.lUserName" a "principal.user.user_display_name".
- Se agregó una verificación a los campos "src.process.eUserId", "src.process.lUserId" y "tgt.process.rUserUid" antes de la asignación a la AUA.
- Se asignaron "tgt.file.location", "registry.valueFullSize" y "registry.valueType" a "target.resource.attribute.labels".
- Se asignó "indicator.description" a "security_result.summary".
- Se asignó "metadata.event_type" a "SCAN_NETWORK", donde "event.type" es "Indicadores conductuales".
- Se asignó "metadata.event_type" a "SCAN_UNCATEGORIZED", donde "event.type" es "Command Script".
- Se inicializaron los campos "meta.osFamily", "meta.osRevision" y "event.type".
- Se agregó ISO8601 al filtro de fecha para analizar la marca de tiempo ISO8601.
- Se agregó on_error a la conversión de cadena "@timestamp".
- Se agregó on_error a "meta.uuid" antes de la asignación.
2023-05-25
- Se asignó "event.source.commandLine" a "principal.process.command_line".
- Se asignó "event.source.executable.path" a "principal.process.file.full_path".
- Establece "metadata.event_type" en "PROCESS_OPEN", donde "event.type" es "openProcess".
- Se asignó "site.name:site.id" a "principal.namespace" si "site.name" y "site.id" no son nulos.
- Se asignó "event.network.direction" a "network.direction".
- Se asignó "meta.event.name" a "metadata.description".
- Se asignó "task.name" a "target.resource.name".
- Se asignó "agent.uuid" a "principal.asset.product_object_id".
- Se asignó "src.process.publisher" a "principal.resource.attribute.labels".
- Se asignó "src.process.cmdline" a "target.process.command_line".
- Se asignó "mgmt.osRevision" a "principal.asset.platform_software.platform_version".
- Se asignó "security_result.category" según el valor de "indicator.category".
- Se asignó "event.dns.response" a "network.dns.answers".
- Se asignó "registry.keyPath" a "target.registry.registry_key".
- Se asignó "event.id" a "target.registry.registry_value_name".
2023-04-27
- Se asignó "event.type" a "metadata.product_event_type" para los registros de Cloud Funnel v2.
2023-04-20
- Se agregó una verificación condicional nula y de "-" para el campo "data.ipAddress".
- Se agregó la verificación condicional de grok para el campo "sourceMacAddresses".
2023-03-02
- Cuando ("event.type" == "tcpv4" and "event.direction" == "INCOMING") o "event.type" contiene "(processExit|processTermination|processModification|duplicate)", se asignó "event.source.executable.signature.signed.identity" a "target.resource.attribute.labels", de lo contrario, se asignó a "principal.resource.attribute.labels".
- Se asignaron "event.parent.executable.signature.signed.identity" y "event.process.executable.signature.signed.identity" a "principal.resource.attribute.labels" y "".
- Se asignaron "event.targetFile.signature.signed.identity", "event.target.executable.signature.signed.identity" y "event.target.parent.executable.signature.signed.identity" a "target.resource.attribute.labels".
2023-02-24
- BugFix:
- Se refactorizó el código para diferenciar claramente entre las versiones de registro.
- En el caso de los registros de embudo de nube v2 de USER_LOGIN, se asignaron los detalles de "event.login.lognIsSuccessful" a "security_result.action" y "security_result.summary".
13-2-2023
- BugFix:
- Se analizaron los registros de embudo de nube v1 según sea necesario.
- Se asignan todos los registros HTTP a "NETWORK_HTTP".
- "NETWORK_HTTP" debe tener el campo de URL asignado a "target.url" en lugar de "metadata.url_back_to_product".
2023-01-20
- Se asignó el campo "event.url" a "target.hostname" y "target.url".
- Se asignó "metadata.event_type" a "NETWORK_HTTP" donde "event.type" == "http".
2023-01-16
- Corregir
- Se asignó "mgmt.url" a "metadata.url_back_to_product" en lugar de "target.url".
- Se asignó "site.name" a "principal.location.name".
- Se asignó "src.process.rUserUid" a "principal.user.userid".
- Se asignó "src.process.eUserId" a "principal.user.userid".
- Se asignó "src.process.lUserId" a "principal.user.userid".
- Se asignó "src.process.parent.rUserUid" a "metadata.ingestion_labels".
- Se asignó "src.process.parent.eUserId" a "metadata.ingestion_labels".
- Se asignó "src.process.parent.lUserId" a "metadata.ingestion_labels".
- Se asignó "tgt.process.rUserUid" a "target.user.userid".
- Se asignó "tgt.process.eUserId" a "target.user.userid".
- Se asignó "tgt.process.lUserId" a "target.user.userid".
- Si "event.type" es "Creación de proceso", se asignó "metadata.event_type" a "PROCESS_LAUNCH".
- Si "event.type" es "Duplicate Process Handle", se asignó "metadata.event_type" a "PROCESS_OPEN".
- Si "event.type" es "Duplicate Thread Handle", "metadata.event_type" se asigna a "PROCESS_OPEN".
- Si "event.type" es "Open Remote Process Handle", se asignó "metadata.event_type" a "PROCESS_OPEN".
- Si "event.type" es "Remote Thread Creation", se asignó "metadata.event_type" a "PROCESS_LAUNCH".
- Si "event.type" es "Command Script", se asignó "metadata.event_type" a "FILE_UNCATEGORIZED".
- Si "event.type" es "IP Connect", se asignó "metadata.event_type" a "NETWORK_CONNECTION".
- Si "event.type" es "IP Listen", se asignó "metadata.event_type" a "NETWORK_UNCATEGORIZED".
- Si "event.type" es "File ModIfication", se asignó "metadata.event_type" a "FILE_MODIfICATION".
- Si "event.type" es "File Creation", se asignó "metadata.event_type" a "FILE_CREATION".
- Si "event.type" es "File Scan", se asignó "metadata.event_type" a "FILE_UNCATEGORIZED".
- Si "event.type" es "File Deletion", se asignó "metadata.event_type" a "FILE_DELETION".
- Si "event.type" es "File Rename", se asignó "metadata.event_type" a "FILE_MODIfICATION".
- Si "event.type" es "Pre Execution Detection", se asignó "metadata.event_type" a "FILE_UNCATEGORIZED".
- Si "event.type" es "Login", se asignó "metadata.event_type" a "USER_LOGIN".
- Si "event.type" es "Logout", se asignó "metadata.event_type" a "USER_LOGOUT".
- Si "event.type" es "GET", se asigna "metadata.event_type" a "NETWORK_HTTP".
- Si "event.type" es "OPTIONS", se asignó "metadata.event_type" a "NETWORK_HTTP".
- Si "event.type" es "POST", se asignó "metadata.event_type" a "NETWORK_HTTP".
- Si "event.type" es "PUT", se asignó "metadata.event_type" a "NETWORK_HTTP".
- Si "event.type" es "DELETE", se asignó "metadata.event_type" a "NETWORK_HTTP".
- Si "event.type" es "CONNECT", se asigna "metadata.event_type" a "NETWORK_HTTP".
- Si "event.type" es "HEAD", se asignó "metadata.event_type" a "NETWORK_HTTP".
- Si "event.type" es "Not Reported", se asigna "metadata.event_type" a "STATUS_UNCATEGORIZED".
- Si "event.type" es "DNS Resolved", se asignó "metadata.event_type" a "NETWORK_DNS".
- Si "event.type" es "DNS Unresolved", se asignó "metadata.event_type" a "NETWORK_DNS".
- Si "event.type" es "Task Register", se asignó "metadata.event_type" a "SCHEDULED_TASK_CREATION".
- Si "event.type" es "Task Update", se asignó "metadata.event_type" a "SCHEDULED_TASK_MODIFICATION".
- Si "event.type" es "Task Start", se asignó "metadata.event_type" a "SCHEDULED_TASK_UNCATEGORIZED".
- Si "event.type" es "Task Trigger", se asignó "metadata.event_type" a "SCHEDULED_TASK_UNCATEGORIZED".
- Si "event.type" es "Task Delete", se asignó "metadata.event_type" a "SCHEDULED_TASK_DELETION".
- Si "event.type" es "Registry Key Create", se asignó "metadata.event_type" a "REGISTRY_CREATION".
- Si "event.type" es "Registry Key Rename", se asignó "metadata.event_type" a "REGISTRY_MODIfICATION".
- Si "event.type" es "Registry Key Delete", se asignó "metadata.event_type" a "REGISTRY_DELETION".
- Si "event.type" es "Exportación de claves de registro", se asignó "metadata.event_type" a "REGISTRY_UNCATEGORIZED".
- Si "event.type" es "Registry Key Security Changed", se asignó "metadata.event_type" a "REGISTRY_MODIfICATION".
- Si "event.type" es "Registry Key Import", se asignó "metadata.event_type" a "REGISTRY_CREATION".
- Si "event.type" es "Registry Value ModIfied", se asignó "metadata.event_type" a "REGISTRY_MODIfICATION".
- Si "event.type" es "Registry Value Create", se asignó "metadata.event_type" a "REGISTRY_CREATION".
- Si "event.type" es "Registry Value Delete", se asignó "metadata.event_type" a "REGISTRY_DELETION".
- Si "event.type" es "Indicadores conductuales", se asignó "metadata.event_type" a "SCAN_UNCATEGORIZED".
- Si "event.type" es "Module Load", se asignó "metadata.event_type" a "PROCESS_MODULE_LOAD".
- Si "event.type" es "Indicadores de inteligencia sobre amenazas", se asignó "metadata.event_type" a "SCAN_UNCATEGORIZED".
- Si "event.type" es "Creación de canal con nombre", se asignó "metadata.event_type" a "PROCESS_UNCATEGORIZED".
- Si "event.type" es "Named Pipe Connection", se asignó "metadata.event_type" a "PROCESS_UNCATEGORIZED".
- Si "event.type" es "Carga del controlador", se asignó "metadata.event_type" a "PROCESS_MODULE_LOAD".
30-11-2022
- Mejora
- Se mejoró el analizador para admitir los registros transferidos en la versión 2 asignando los siguientes campos.
- Se asignó "account.id" a "metadata.product_deployment_id".
- Se asignó "agent.uuid" a "principal.asset.asset_id".
- Se asignó "dst.ip.address" a "target.ip".
- Se asignó "src.ip.address" a "principal.ip".
- Se asignó "src.process.parent.image.sha1" a "principal.process.parent_process.file.sha1".
- Se asignó "src.process.parent.image.sha256" a "principal.process.parent_process.file.sha256".
- Se asignó "src.process.parent.image.path" a "principal.process.parent_process.file.full_path".
- Se asignó "src.process.parent.cmdline" a "principal.process.parent_process.command_line".
- Se asignó "src.process.parent.image.md5" a "principal.process.parent_process.file.md5".
- Se asignó "src.process.parent.pid" a "principal.process.parent_process.pid".
- Se asignó "src.process.image.sha1" a "principal.process.file.sha1".
- Se asignó "src.process.image.md5" a "principal.process.file.md5".
- Se asignó "src.process.pid" a "principal.process.pid".
- Se asignó "src.process.cmdline" a "principal.process.command_line".
- Se asignó "src.process.image.path" a "principal.process.file.full_path".
- Se asignó "src.process.image.sha256" a "principal.process.file.sha256".
- Se asignó "src.process.user" a "principal.user.user_display_name".
- Se asignó "src.process.uid" a "principal.user.userid".
- Se asignó "src.process.storyline.id" a "principal.process.product_specific_process_id".
- Se asignó "src.process.parent.storyline.id" a "principal.process.parent_process.product_specific_process_id".
- Se asignó "mgmt.url" a "target.url".
- Se asignó "site.id" a "principal.namespace".
- Se asignó "src.port.number" a "principal.port".
- Se asignó "dst.port.number" a "target.port".
- Se asignó "event_data.id" a "metadata.product_log_id".
2022-10-11
- Mejora
- Se asignó "threatClassification" a "security_result.category_details".
- Se asignaron "threatConfidenceLevel" y "threatMitigationStatus" a "security_result.detection_fields".
- Se asignó "Ubicación" a "principal.location.name".
- Se asignó "data.filePath" a "principal.process.parent_process.file.full_path".
- Se actualizó la asignación (valor de CAT)security_result.category_details a metadata.product_event_type.
2022-09-01
- Mejora
- Se cambió metadata.product_name de SentinelOne a Singularity.
- Se asignó "event.regValue.key.value" a "target.registry.registry_value_name".
- Se asignó "principal_userid" a "principal.user.userid".
- Se asignó "principal_domain" a "principal.administrative_domain".
- Se asignó "threatInfo.threatId" a "security_result.threat_id".
- Se asignó "threatInfo.identifiedAt" a "metadata.event_timestamp".
- Se asignó "threatInfo.threatId" a "metadata.product_log_id".
- Se asignó "security_result.alert_state" a "ALERTING".
- Se asignó "threatInfo.maliciousProcessArguments" a "security_result.description".
- Se asignó "threatInfo.threatName" a "security_result.threat_name".
- Se asignó "threatInfo.classification" a "security_result.category_details".
- Se asignó "security_result.category" a "SOFTWARE_MALICIOUS", donde threatInfo.classification es malicioso, de lo contrario, a "NETWORK_SUSPICIOUS".
- Se asignó "security_result.action" a "ALLOW" cuando threatInfo.mitigationStatus está mitigado, de lo contrario, a "BLOCK".
- Se asignó "threatInfo.mitigationStatus" a "security_result.action_details".
- Se asignó "threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName" a "security_result.summary".
- Se asignó "threatInfo.createdAt" a "metadata.collected_timestamp".
- Se asignó "agentRealtimeInfo.accountId" a "metadata.product_deployment_id".
- Se asignó "agentRealtimeInfo.agentVersion" a "metadata.product_version".
- Se asignó "indicator.category" a "detection_fields.key" y "indicator.description" a "detection_fields.value".
- Se asignó "detectionEngines.key" a "detection_fields.key" y "detectionEngines.title" a "detection_fields.value".
- Se asignó "metadata.event_type" a "SCAN_UNCATEGORIZED", donde "meta.computerName" no es nulo.
2022-07-21
- Mejora
- Se asignó event.source.executable.hashes.md5 a principal.process.file.md5.
- Se asignó event.source.executable.hashes.sha256 a principal.process.file.sha256.
- Se asignó event.source.executable.hashes.sha1 a principal.process.file.sha1.
- Se asignó event.source.fullPid.pid a principal.process.pid.
- Se asignó event.source.user.name a principal.user.userid.
- Se asignó meta.agentVersion a metadata.product_version.
- Se asignó event.appName a target.application.
- Se asignó event.contentHash.sha256 a target.process.file.sha256.
- Se asignó event.source.commandLine a target.process.command_line.
- Se asignó event.decodedContent a target.labels.
- Se cambió metadata.description de secuencias de comandos a Secuencias de comandos de comando cuando event.type es secuencias de comandos.
- Se asignó el proveedor a metadata.vendor_name.
- Se asignó data.fileContentHash a target.process.file.md5.
- Se asignó data.ipAddress a principal.ip.
- Se asignó activityUuid a target.asset.product_object_id.
- Se asignó agentId a metadata.product_deployment_id.
- Se agregó la verificación de correo electrónico para user_email antes de asignarlo a principal.user.email_addresses. Si fallaba, se asignaba a principal.user.userid.
- Se asignaron sourceIpAddresses a principal.ip.
- Se asignó accountName a principal.administrative_domain.
- Se asignó activityId a additional.fields.
2022-07-15
- Mejora: Se analizaron los registros nuevos con formato JSON y se asignaron los siguientes campos nuevos:
- "metadata.product_name" a "SENTINEL_ONE".
- "sourceParentProcessMd5" a "principal.process.parent_process.file.md5".
- "sourceParentProcessPath" a "principal.process.parent_process.file.full_path".
- "sourceParentProcessPid" a "principal.process.parent_process.pid".
- "sourceParentProcessSha1" a "principal.process.parent_process.file.sha1".
- "sourceParentProcessSha256" a "principal.process.parent_process.file.sha256".
- "sourceParentProcessCmdArgs" a "principal.process.parent_process.command_line".
- "sourceProcessCmdArgs" a "principal.process.command_line".
- "sourceProcessMd5" a "principal.process.file.md5".
- "sourceProcessPid" a "principal.process.pid".
- "sourceProcessSha1" a "principal.process.file.sha1".
- "sourceProcessSha256" a "principal.process.file.sha256".
- "sourceProcessPath" a "principal.process.file.full_path".
- "tgtFilePath" a "target.file.full_path".
- "tgtFileHashSha256" a "target.file.sha256".
- "tgtFileHashSha1" a "target.file.sha1".
- "tgtProcUid" a "target.process.product_specific_process_id".
- "tgtProcCmdLine" a "target.process.command_line".
- "tgtProcPid" a "target.process.pid".
- "tgtProcName" a "target.application".
- "dstIp" a "target.ip".
- "srcIp" a "principal.ip".
- "dstPort" a "target.port".
- "srcPort" a "principal.port".
- "origAgentName" a "principal.hostname".
- "agentIpV4" a "principal.ip".
- "groupId" a "principal.user.group_identifiers".
- "groupName" a "principal.user.group_display_name".
- "origAgentVersion" a "principal.asset.software.version".
- "origAgentOsFamily" a "principal.platform".
- "origAgentOsName" a principal.asset.software.name".
- "event_type" a "FILE_MODIFICATION" cuando sourceEventType = FILEMODIFICATION.
- "event_type" a "FILE_DELETION" cuando sourceEventType = FILEDELETION.
- "event_type" a "PROCESS_LAUNCH" cuando sourceEventType = PROCESSCREATION.
- "event_type" a "NETWORK_CONNECTION" cuando sourceEventType = TCPV4.
2022-06-13
- Mejora
- for [event][type] == "fileCreation" and [event][type] == "fileDeletion"
- Se asignó "event.targetFile.path" a "target.file.full_path".
- Se asignó "event.targetFile.hashes.md5" a "target.process.file.md5".
- Se asignó "event.targetFile.hashes.sha1" a "target.process.file.sha1".
- Se asignó "event.targetFile.hashes.sha256" a "target.process.file.sha256".
- for [event][type] == "fileModification"
- Se asignó "event.file.path" a "target.file.full_path".
- Se asignó "event.file.hashes.md5" a "target.process.file.md5".
- Se asignó "event.file.hashes.sha1" a "target.process.file.sha1".
- Se asignó "event.file.hashes.sha256" a "target.process.file.sha256".
2022-04-18
- Se mejoró el analizador para controlar todos los registros sin procesar.